Sicherheitsforscher heben eine weitere Masche hervor, die unter Hackern über die letzten Jahre beliebt wurde. Verseuchte Code-Pakete mit bösartigen Befehlszeilen dienen als Stoßtrupp.
Die Forschungsabteilung von Check Point Software warnt alle IT-Sicherheitskräfte vor betrügerischen Code-Paketen. Diese Masche darf zu den Lieferketten-Angriffen und Wertschöpfungsketten-Angriffen gerechnet werden, die stark zunahmen. Auf verschiedenem Weg versuchen Cyber-Kriminelle in die Systeme von Unternehmern und Privat-Leuten einzudringen und Code-Pakete sind das neue Vehikel der Hacker.
Code-Pakete als Vehikel
Über die letzten Jahre, haben die Verbrecher zunehmend diese für ihre Zwecke missbraucht: Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen. Dies bringt vor allem eigentlich vertrauenswürdige Drittanbieter solcher Repositories in Verruf und hat Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von Open Source. Vor allem Node.js (NPM) und Python (PyPi) sind im Visier.
Beispiel 1
Am 8. August wurde auf PyPi das verseuchte Code-Paket Python-drgn hochgeladen, welches den Namen des echten Paketes drgn missbraucht. Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln. Diese werden an einen privaten Slack-Kanal geschickt. Das gefährliche: Enthalten ist lediglich eine setup.py-Datei, die in der Python-Sprache nur für Installationen genutzt wird und automatisch Python-Pakete abruft, ohne die Einwirkung des Benutzers. Dies allein macht die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlen. Der schädliche Teil versteckt sich daher in dieser Setup-Datei.
Beispiel 2
Ebenfalls auf PyPi wurde das verseuchte Code-Paket bloxflip angeboten, welches den Namen von Bloxflip.py missbraucht. Dieses deaktiviert als erstes den Windows Defender, um nicht entdeckt zu werden. Danach lädt es eine ausführbare Datei (.exe) unter Nutzung der Python-Funktion Get herunter. Anschließend wird ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.
Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent.
Mehr bei CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.